ITIL v4 : La Gestion des Risques
Description
La gestion des risques est l'une des 14 pratiques de gestion générale d'ITIL 4. Son but est de s'assurer que l'organisation comprend et gère efficacement les risques, ce qui est essentiel pour garantir la pérennité de l'entreprise et la création de valeur pour ses clients. Elle permet d'adopter une approche proactive face aux menaces pesant sur la fourniture des services.
Concepts Fondamentaux
Définition du risque: Un risque est un événement possible qui pourrait causer un préjudice ou une perte, ou rendre plus difficile l'atteinte des objectifs. Il peut également être défini comme une incertitude du résultat, qu'il soit positif ou négatif.Menaces et Opportunités: Bien que souvent perçu négativement, le risque est aussi associé aux opportunités. Ne pas saisir une opportunité (coût d'opportunité) est en soi un risque à éviter. Par exemple, l'innovation est intrinsèquement risquée mais offre des bénéfices majeurs en termes de compétitivité et de résilience.Types de risques pour le consommateur: On distingue les risques supprimés pour le client par le service (ex: défaillance matérielle gérée par le fournisseur) et les risques imposés au client par le service (ex: une faille de sécurité chez le fournisseur).
Le Processus de Gestion des Risques
Pour être efficace, cette pratique exige que les risques soient gérés selon trois étapes clés :
Identification: Identifier les incertitudes qui affecteraient les objectifs dans le contexte d'une activité précise.Évaluation: Estimer la probabilité, l'impact et la proximité des risques individuels pour établir des priorités et comprendre l'exposition globale.Traitement: Planifier des réponses appropriées, désigner des responsables, puis mettre en œuvre et contrôler ces mesures.Principes et Culture
La gestion des risques repose sur plusieurs principes directeurs :
Le risque fait partie du business: Prendre des risques est nécessaire pour la durabilité à long terme, mais ils doivent être évalués par rapport à l'appétit pour le risque de l'organisation.Cohérence organisationnelle: La pratique doit être gérée de manière holistique pour assurer une cohérence dans toute l'entreprise, tout en restant flexible pour s'adapter à des circonstances spécifiques.Culture et comportements: Il est crucial d'instaurer une culture où le personnel à tous les niveaux adopte des comportements proactifs, assure la transparence et encourage le signalement des risques et des incidents.
Partage des Responsabilités
La gestion du risque est un devoir partagé :
Le fournisseur: Il doit gérer le niveau de risque détaillé au nom du consommateur, en équilibrant ce qui compte le plus pour les deux parties.Le consommateur: Il contribue à la réduction des risques en participant activement à la définition des exigences, en communiquant clairement les facteurs critiques de succès (CSF) et en fournissant au fournisseur l'accès à ses ressources nécessaires.
Contribution à la Chaîne de Valeur des Services (SVC)
La gestion des risques est intégrée à toutes les activités de la chaîne de valeur :
Planifier: Fournit des entrées essentielles sur les changements de demande, les évolutions législatives, les concurrents et les changements technologiques.Améliorer: Évalue et contrôle toutes les initiatives d'amélioration.Engager: Aide à identifier les parties prenantes et optimise l'engagement en fonction des profils de risque.Conception et transition: S'assure que les produits sont conçus pour traiter les risques prioritaires (ex: évolutivité pour répondre à la demande).Obtenir/construire: Éclaire les décisions concernant l'acquisition ou la construction de composants.Délivrer et soutenir: Garantit que la fourniture des services est maintenue au niveau convenu et gère les événements selon les risques qu'ils introduisent.
Enfin, la pratique s'appuie souvent sur des cadres internationaux comme l'ISO 31000:2018, qui stipule que le but de la gestion des risques est la création et la protection de la valeur.